La CNIL a publié sa FAQ (Foire Aux Questions) sur les cookies. Elle répond aux questions courantes que tout le monde se pose pour l’application de ses lignes directrices. Analytics, consentement, information, cookie wall, ux design… On vous présente les principales nouveautés et précisions à retenir. C’est l’actualité juridique du jour.
Quelles nouveautés par rapport aux recommandations de 2013 et 2019 ?
Ces dernières années, l’actualité du cookie a été relativement riche :
- Le RGPD est entré en vigueur en 2018. Il définit dans quelles conditions le consentement doit être collecté. Il a ainsi marqué la fin du soft opt-in.
- Le Conseil d’État a rendu un arrêt le 19 juin 2020. Cette décision a remis en cause partiellement la position de la CNIL.
Les lignes directrices actuelles prennent en compte ces normes. La CNIL en profite pour fournir une liste de recommandations concrètes sur :
- la manière de collecter le consentement et le refus de l’utilisateur. Ce consentement se donne par finalité mais il peut aussi porter sur chaque société qui dépose des cookies.
- l’information à apporter sur le ou les responsables des traitements de données collectées via les cookies. En pratique, il s’agit de lister ces entités, de fournir un lien vers leurs politiques de confidentialité et d’indiquer les finalités des cookies déposés.
- la preuve à apporter en matière de consentement.
A noter que les lignes directrices s’appliquent aux sites internet mais pas aux espaces intranet.
Les cookies de mesure d’audience, c’est oui... mais...
Le régime des cookies de mesure d’audience reste compliqué. Consentement ou pas consentement ? Heureusement, la CNIL apporte des précisions sur ce qu’elle attend des éditeurs.
- Attention aux discours commerciaux qui vous promettent une solution anonyme pour continuer à faire du tracking publicitaire. L’exemption de consentement ne vous permet de faire que de la mesure statistique anonyme sur votre site. Et rappelez-vous qu’une anonymisation totale des données n’est pas évidente à obtenir.
- La CNIL compte publier sur son site une liste des acteurs dont les solutions vous permettront de bénéficier de l’exemption de consentement
Dans quels cas demander le consentement des internautes ?
L’accord de vos utilisateurs sera indispensable pour les cookies non nécessaires au fonctionnement du site. Et notamment ceux utilisés pour :
- des finalités publicitaires. Cela inclut la facturation des opérations d’affiliation et l’affichage de publicités contextuelles ;
- La lutte contre la fraude. Certains cookies pourront néanmoins être considérés comme indispensables au fonctionnement du site. Par exemple, ce sera le cas de ceux qui servent à sécuriser un mécanisme d’authentification ;
- la mise à disposition de fonctionnalités de partage sur les réseaux sociaux.
Cookie Wall, TCF IAB ? Licite ou non ?
La CNIL reste défavorable au format du cookie wall mais ne l’interdit pas complètement. Une analyse au cas par cas sera donc nécessaire pour déterminer ce qui respecte ou non la réglementation.
La CNIL ne se positionne pas directement sur le protocole TCF auquel l’IAB soumet l’industrie publicitaire. Subtilité du droit, chaque éditeur a besoin d’une base légale distincte :
- pour déposer et lire des cookies, d’une part ;
- pour collecter des données via ces cookies et les exploiter, d’autre part.
Théoriquement,un éditeur pourrait donc soumettre ses cookies au consentement mais collecter des données en se basant sur son seul intérêt légitime.
Heureusement, la CNIL rappelle que le refus d’un l’utilisateur du recours à des traceurs publicitaires entraîne aussi celui de la collecte des données.
Comment informer les utilisateurs ?
Selon la Commission Nationale de l’Informatique et des Libertés, l’information doit être complète, visible et mise en évidence.
L’écran d’interpellation de votre audience (qu’il prenne la forme d’une bannière, d’une popup ou d’un cookie wall) comprendra donc un premier niveau d’information.
- La liste des principales finalités des cookies déposés. On mentionnera ainsi sur le premier écran une finalité publicitaire dont on détaillera les objectifs (sous-finalités) dans un second temps (capping publicitaire, facturation, lutte contre la fraude au clic…) ;
- la liste du ou des responsables de traitement, en pratique rendue accessible par un lien cliquable ;
- la possibilité de revenir sur son consentement à tout moment ;
- éventuellement, les conséquences liées au refus d’un cookie.
Une information plus complète sera fournie de manière éparse au sein du module de gestion des cookies et dans une rubrique dédiées.
Gérer l’UX design de vos parcours
La CNIL accorde une grande importance à l’UX design de votre module, au point d’émettre des recommandations en la matière telles que :
- ne pas avoir recours à des mécaniques permettant de fausser ou forcer le consentement (dark patterns). Ce serait le cas par exemple si l’éditeur laisse entendre que le consentement est obligatoire ou s’il met en valeur un choix plutôt qu’un autre.
- Afficher un bouton un bouton « Tout accepter » et un bouton « Tout refuser » sur le premier écran de sollicitation. La CNIL est par contre défavorable à l’affichage d’un bouton « Tout accepter » et un bouton « Paramétrer vos choix » ;
- rendre le module de gestion des cookies accessible par un bouton affiché sur un endroit qui attire l’attention de l’internaute.
Quid de la délégation de sous-domaines ?
La délégation de sous-domaines (ou CNAME Cloacking) est un procédé envisagé par certains pour contourner leurs obligations. L’éditeur délègue la gestion d’un sous-domaine à un acteur tiers qui pourra continuer de déposer des cookies mais pour le compte de l’éditeur.
Ce n’est pas illicite en soi mais cela augmente les risques.
- L’éditeur reste comptable de ses devoirs de transparence et éventuellement de recueil de consentement ;
- Ce procédé peut engendrer des failles de sécurité, notamment si des hackers devenaient en mesure de lire les jetons d’authentification stockés dans les cookies.
Conclusion : Etes-vous prêts à respecter les lignes directrices de la CNIL ?
En publiant sa foire aux questions, la CNIL continue d’alimenter le marché en informations pertinentes. On en sait plus sur la manière d’implémenter les lignes directrices.
C’est parti ! Vous voilà invité à basculer dans une approche privilégiant la transparence et le contrôle rendu à l’utilisateur. Mais aussi finalement à penser la gestion des cookies en termes d’expérience marketing. C’est ce qu’Axeptio propose avec sa Consent Management Platform.
Alors n’attendez plus pour vous y mettre.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.